Bild zum 20-jährigen Jubiläum
Jahre - Aktionen
Jahre

Self-managed vs. managed Security-Awareness Schulungen: Welche Lösung passt?

IT-Leiter und CISOs stehen oft vor derselben Frage: Awareness selbst betreiben oder als Managed Service abgeben? Diese Seite trennt Verantwortlichkeiten, Aufwand und typische Einsatzszenarien klar, damit Sie das passende Betriebsmodell für Ihre Sicherheitskultur auswählen.

Symbol für Sicherheitsbewusstsein

Entscheidung in 2 Minuten: self-managed oder managed?

Self-managed passt, wenn Sie intern Kapazität für Planung, Rollout und Qualitätssicherung haben und die Steuerung selbst behalten wollen. Managed passt, wenn Tempo, Entlastung und verlässliche Umsetzung im Vordergrund stehen. Entscheidend sind Ressourcen, Governance-Anspruch und wie kontinuierlich Sie schulen wollen.

Für IT-Leiter und CISOs ist die Betriebsform oft wichtiger als das einzelne Lernformat. Self-managed bedeutet: Ihr Team steuert E-Learning, Microlearning, Quiz und Kommunikation selbst, setzt Prioritäten und stellt sicher, dass Inhalte regelmässig laufen. Managed bedeutet: Sie definieren Ziele und Leitplanken, die operative Umsetzung wird als Service organisiert, damit Kontinuität entsteht.

Dr. Thomas Schlienger, Spezialist für Informationssicherheitskultur seit 2002, ISO 27001 Lead Auditor und Dozent an BFH und HSLU, betont: Nur regelmässige Aktivierung kann Informationssicherheitsgrundlagen in den Gedanken und Handlungen aller Mitarbeitenden verankern. Die Modellwahl sollte deshalb vor allem beantworten, wer dauerhaft Kampagnenfähigkeit, Nachsteuerung und Einbindung in den Arbeitsalltag sicherstellt.

Wenn Sie bereits eine Awareness Strategie haben, interne Prozessreife besitzen und ein IT-Administrator Zeit für Administration und Koordination einplanen kann, ist self-managed oft naheliegend. Wenn interne Ressourcen knapp sind oder die Organisation viele parallele Security-Themen wie Datenschutz, Passwort-Richtlinien, Homeoffice und Clear Desk/Clear Screen sauber verankern muss, reduziert managed operativen Druck.

Kernaussagen:

  • Die Modellwahl entscheidet primär über Kontinuität und Verantwortlichkeiten, nicht über einzelne Lernformate.
  • Self-managed erfordert interne Kapazität für Planung, Rollout und Qualitätssicherung.
  • Managed priorisiert Entlastung und verlässliche Umsetzung nach definierten Leitplanken.
  • Kontinuierliche Schulung ist entscheidend, weil jährliche Einmal-Schulungen in der Praxis zu schwach wirken.

THEMEN: TreeSolution E-Learning Microlearning Quiz Awareness Strategie IT-Administrator Informationssicherheit Datenschutz Passwort Homeoffice Clear Desk Clear Screen Sicherheitskultur

Direkte Antwort auf die Leitfrage: Welche Lösung passt wann?

Self-managed ist oft sinnvoll, wenn Sie ab einer stabilen Teilnehmerzahl pro Jahr intern steuern können und bewusst Ownership aufbauen wollen. Managed ist häufig die bessere Wahl, wenn Ressourcen fehlen, mehrere Standorte/Teams koordiniert werden müssen oder Sie schnelle, laufende Umsetzung brauchen. Nutzen Sie die folgende Q&A-Entscheidungshilfe.

Viele Entscheider formulieren die Frage sehr konkret: „Welche Lösung passt: self-managed oder managed Schulungen?“ Genau hier hilft ein klares Raster aus Teilnehmerumfang, interner Kapazität, Governance und gewünschtem Tempo.

Wichtig ist, den Scope sauber zu halten: Diese Seite vergleicht Betriebsmodelle, nicht Preise und nicht einzelne Trainingsarten. Wenn Sie das Betriebsmodell entschieden haben, können Sie im nächsten Schritt Pakete oder Inhalte auswählen.

Illustratives Bild von Händen, die auf einem Laptop tippen

Für TreeSolution ist in Kundengesprächen eine Frage besonders häufig: „Wie lange dauert die Ersteinrichtung?“ Das ist ein gutes Signal dafür, dass Entscheider nicht nur Inhalte wollen, sondern eine umsetzbare Betriebsform. Die technische Einrichtung selbst ist schlank gehalten, die Dauer hängt aber von Ihren internen Prozessen ab: Admin-Zugang, Nutzergruppen, interne Freigaben. Diese operative Sicht hilft, die eigene Realistik zu prüfen.

Setzen Sie nun die Entscheidungshilfe ein und gleichen Sie das Ergebnis mit Ihren internen Rollen (IT-Administrator, Informationssicherheit, Datenschutz) ab.

Kernaussagen:

  • Die Leitfrage lässt sich am zuverlässigsten über Kapazität, Governance und Tempo beantworten.
  • Die Ersteinrichtung ist ein zentraler Entscheidungsfaktor, weil sie die Umsetzbarkeit sichtbar macht.
  • Die technische Einrichtung ist schlank; die Dauer hängt von internen Freigaben ab.

THEMEN: TreeSolution Awareness Lösungen IT-Administrator

Definition: Was heisst self-managed vs. managed im Awareness-Betrieb?

Self-managed heisst: Ihr Unternehmen betreibt Security Awareness Schulungen operativ selbst, inklusive Planung, Nutzerverwaltung und Rhythmus. Managed heisst: Ein Dienstleister übernimmt die operative Durchführung nach Ihren Vorgaben. Beide können E-Learning, Webinare, Animationsfilm, Microlearning und Quiz enthalten. Der Unterschied liegt in Zuständigkeit und Betriebsaufwand.

Der Begriff „managed“ wird im Markt oft unscharf verwendet. Für die Entscheidung hilft eine klare Trennung nach Verantwortungsbereichen:  Self-managed: Sie definieren die Awareness Strategie, setzen Security Awareness Kampagnen auf, planen Inhalte entlang typischer Risiken (Social Engineering, Phishing, Passwort, Datenschutz), koordinieren Kommunikation und sorgen dafür, dass das Awareness-Programm nicht abreisst. Der IT-Administrator oder ein zuständiges Awareness-Team verantwortet Administration und Betrieb.

Managed: Sie geben Ziele, Zielgruppen, Freigaben und Governance vor. Die operative Umsetzung, Terminierung und oft auch das Kampagnen-Handling werden als Service organisiert. Ihr Team bleibt Owner für Informationssicherheit und die interne Policy-Welt, gewinnt aber Zeit.

Wichtig: Diese Seite bewertet nicht, welches Lernformat „besser“ ist. Lernformate und Themenkatalog werden separat behandelt. Hier geht es darum, wer welche Arbeit im Tagesgeschäft übernimmt und wie risikoarm Sie Kontinuität sicherstellen.

Kernaussagen:

  • Der Kernunterschied zwischen self-managed und managed ist Zuständigkeit, nicht das Content-Format.
  • Beide Betriebsmodelle können dieselben Lernbausteine enthalten (z. B. E-Learning, Microlearning, Quiz).
  • Die Modellwahl entscheidet, ob operative Kontinuität intern oder als Service abgesichert wird.

THEMEN: Cyber Security Schulung Security Awareness Kampagnen Awareness Strategie E-Learning Webinare Animationsfilm Microlearning Quiz Informationssicherheit Datenschutz Passwort Social Engineering Phishing IT-Administrator Cyber Security Lernreise

Kriterium 1: Interne Ressourcen, Skills und Betriebsreife

Wählen Sie self-managed, wenn Sie intern jemanden haben, der Kampagnenbetrieb, Content-Freigaben und Nutzersteuerung dauerhaft verantwortet. Wählen Sie managed, wenn Awareness neben anderen Security-Baustellen laufen muss und Sie eine verlässliche Taktung ohne internes Projekt-Overhead benötigen. Die beste Wahl ist die, die Kontinuität garantiert.

Ressourcen sind selten nur „Zeit“. Entscheidend ist Betriebsreife: Gibt es einen fixen Owner, klare Freigabewege und die Fähigkeit, regelmässig nachzusteuern? Self-managed funktioniert, wenn ein IT-Administrator (oder ein Awareness-Verantwortlicher) nicht nur initial einrichtet, sondern den Betrieb weiterführt: Zielgruppen pflegen, Lernmodule einplanen, Rückläufer bearbeiten, interne Kommunikation mittragen.

Managed ist sinnvoll, wenn diese Fähigkeiten fehlen oder die Organisation bewusst Entlastung einkauft. In der Praxis kippen Programme oft nicht am Content, sondern am Durchhalten. Dr. Thomas Schlienger betont: Nur regelmässige Aktivierung verankert Informationssicherheitsgrundlagen nachhaltig. Das Betriebsmodell muss deshalb eine „immer wieder“-Logik unterstützen.

Illustratives Bild eines Mannes neben einem Whiteboard

Wenn Sie gerade erst anfangen, kann managed den schnelleren, risikoärmeren Start bedeuten. Wenn Sie bereits eine gelebte Sicherheitskultur aufbauen und Ownership in der Linie verankern wollen, kann self-managed langfristig besser zu Ihrer Governance passen.

Kernaussagen:

  • Self-managed erfordert einen benannten Owner und laufende Betriebszeit, nicht nur Initialaufwand.
  • Managed reduziert internes Projekt-Overhead und stabilisiert die Taktung.
  • Kontinuität ist das zentrale Auswahlkriterium, weil sporadische Schulungen zu wenig Wirkung entfalten.

THEMEN: IT-Administrator Security Awareness Kampagnen Sicherheitskultur Awareness Strategie Informationssicherheit

Kriterium 2: Risiko, Geschwindigkeit und Skalierung (Standorte, Homeoffice, Geräte)

Symbolbild einer Frau, die im Büro arbeitet

Managed passt, wenn Sie schnell skalieren müssen oder Risiken durch inkonsistente Umsetzung minimieren wollen. Self-managed passt, wenn Skalierung planbar ist und Ihre Prozesse bereits sitzen. Prüfen Sie Ihre Realität: Homeoffice, mobile Geräte, Social Media Nutzung und E-Mail Risiken erhöhen den Bedarf an regelmässigem, sauberem Rollout.

Skalierung bedeutet: Viele Nutzer, wechselnde Teams, Onboarding neuer Mitarbeitender und verschiedene Arbeitskontexte. Homeoffice und mobile Geräte erhöhen die Angriffsfläche für Social Engineering, Phishing und Schadprogramm-Einträge über E-Mail und Internet. Je verteilter die Organisation, desto teurer wird inkonsistente Umsetzung.

In einem managed Modell sinkt das Risiko, dass Kampagnen ausfallen, Freigaben liegenbleiben oder Zielgruppen vergessen werden. In einem self-managed Modell gewinnen Sie maximale Steuerung, brauchen aber belastbare Prozesse. Die Entscheidung hängt oft daran, ob Sie Awareness als „Produktionsprozess“ (wiederholbar) oder als „Projekt“ (einmalig) behandeln.

Wenn Prozesse transparent sind, kann self-managed gut funktionieren. Wenn Prozesse erst aufgebaut werden müssen, ist managed häufig der pragmatischere Start.

Kernaussagen:

  • Verteiltes Arbeiten erhöht den Bedarf an regelmässigem, konsistentem Awareness-Rollout.
  • Managed reduziert das Risiko inkonsistenter Umsetzung in komplexen Organisationen.
  • Self-managed liefert maximale Steuerung, setzt aber wiederholbare Prozesse voraus.

THEMEN: Homeoffice Mobile Gerät Social Media E-Mail Internet Social Engineering Phishing Schadprogramm Security Awareness Kampagnen Sicherheitskultur

Verantwortlichkeiten: Wer macht was in self-managed und managed?

Bei einer Self-managed-Lösung übernimmt ihr Team Administration, Rollout und Qualitätssicherung eigenständig. Bei einer Managed-Lösung betreibt der Anbieter die operativen Aufgaben, während Sie Governance, Freigaben und Zielbild steuern. Unabhängig vom Modell sollten drei Rollen klar definiert sein: Owner (CISO/Informationssicherheit), Betrieb (IT-Administrator) und Fachfreigaben (z. B. Datenschutz).

Ohne Rollenklärung verliert jedes Awareness-Programm an Wirkung. Für IT-Leiter und CISOs ist die wichtigste Frage nicht „Welche Plattform?“, sondern „Wer hält den Betrieb am Laufen?“

Typische Rollenverteilung:

Owner: Informationssicherheit oder CISO verantwortet Zielbild, Policies und Prioritäten.

Betrieb: IT-Administrator kümmert sich um Admin-Zugang, Nutzer-/Gruppenlogik und technische Rahmenbedingungen.

Fachfreigaben: Datenschutz oder weitere Fachbereiche prüfen Inhalte, wenn interne Anforderungen betroffen sind.

Bei einer Self-managed-Lösung verschieben sich mehr Aufgaben in den Betrieb und Fachfreigaben, weil Planung und Taktung intern entschieden werden. Eine Managed-Lösung reduziert die operative Last, verlangt aber klare Governance: Welche Themen sind Pflicht, welche Zielgruppen zuerst, welche Frequenz, welche Eskalationswege bei Nicht-Teilnahme.

Die TreeSolution Security Awareness Akademie kann in beiden Modellen als Rahmen dienen. Den konkreten Leistungsumfang der Akademie behandeln wir auf der dedizierten Seite.

Kernaussagen:

  • Rollenklärung ist ein Muss, unabhängig vom Betriebsmodell.
  • Eine Self-managed-Lösung erhöht interne Betriebs- und Koordinationsaufgaben.
  • Eine Managed-Lösung benötigt klare Governance, weil operative Aufgaben ausgelagert werden.

THEMEN: Informationssicherheit IT-Administrator Datenschutz Security Awareness Akademie TreeSolution Awareness Strategie

Einführung: Wie schnell ist die Ersteinrichtung und was wird benötigt?

Die technische Einrichtung der TreeSolution Security Awareness Akademie erfordert Admin-Zugang sowie Browserkompatibilität auf Desktop und mobilen Geräten. Eine native mobile App ist nicht erforderlich – die Plattform ist vollständig responsiv. Für die Authentifizierung stehen drei Optionen zur Verfügung: lokaler Account, SAML2-SSO oder OIDC mit Microsoft Entra ID.

Die häufigste Praxisfrage lautet: „Wie lange dauert die Ersteinrichtung?“ Für die Betriebsmodell-Entscheidung ist das relevant, weil es zeigt, ob self-managed realistisch ist oder ob ein managed Start Stress reduziert.

Konkrete Rahmenbedingungen aus den bereitgestellten Daten:

  • Die technische Einrichtung ist schlank gehalten.
  • Benötigt: Admin-Zugang.
  • Die Plattform basiert auf responsivem Design und läuft auf allen gängigen Browsern.
Symbolbild: Mann, der an einem Laptop arbeitet

Interpretation für die Entscheidung: Wenn Sie diese Voraussetzungen intern ohne Abstimmungsstau erfüllen können, senkt das die Einstiegshürde für self-managed deutlich. Wenn Admin-Zugang, IT-Freigaben oder Endgeräte-Standards regelmässig lange dauern, spricht das eher für managed, weil ein Service typischerweise stärker auf schnelle Operationalisierung ausgerichtet ist.

Wichtig: Diese Seite bewertet keine Lernplattform-Architekturen. Wenn Ihre Kernfrage lautet, wie Sie Security Awareness ohne eigene Lernplattform (LMS) umsetzen, nutzen Sie bitte die verlinkte Spezialseite.

Kernaussagen:

  • Die technische Einrichtung der TreeSolution Security Awareness Akademie ist schlank gehalten.
  • Die Dauer hängt von internen Prozessen ab, nicht von der Plattform.
  • Für die Einrichtung wird Admin-Zugang benötigt.
  • Die Plattform basiert auf responsivem Design und läuft auf allen gängigen Browsern, vom PC bis zum Smartphone.

THEMEN: TreeSolution IT-Administrator

Betrieb & Nutzen: Warum Kontinuität wichtiger ist als „einmal pro Jahr“

Security Awareness wirkt im Betrieb, nicht als Jahresereignis. Kontinuierliche Lernimpulse wie Microlearning und Quiz senken das Risiko von Routinefehlern und stärken Sicherheitskultur. Dr. Thomas Schlienger, Experte für Informationssicherheitskultur, betont: Nur regelmässige Aktivierung kann Informationssicherheitsgrundlagen in den Gedanken und Handlungen aller Mitarbeitenden verankern. Das spricht für ein Modell, das regelmässige Kampagnen zuverlässig ermöglicht.

Die Diskussion self-managed vs. managed ist oft ein Stellvertreter für die eigentliche Entscheidung: Schaffen wir Regelmässigkeit? Dr. Thomas Schlienger betont: Nur regelmässige Aktivierung verankert Informationssicherheitsgrundlagen nachhaltig. Ein Betriebsmodell ist dann passend, wenn es Frequenz, Nachsteuerung und Kommunikation dauerhaft sicherstellt.

Die Akademie-Philosophie basiert auf drei Phasen: Sensibilisierung (Aufmerksamkeit erzeugen), Schulung (Wissen aufbauen) und Verankerung (Verhalten festigen). Dieses Prinzip lässt sich in Mini-Kampagnen umsetzen, die über das Jahr verteilt werden.

Für Entscheider bedeutet das: Die Betriebsform muss ein kontinuierliches Awareness-Programm ermöglichen, statt nur Pflichtmodule abzuhaken.

Self-managed kann diese Kontinuität leisten, wenn Kampagnenbetrieb und redaktionelle Pflege klar verankert sind. Managed kann sie leisten, wenn Sie die Governance sauber definieren und dem Service regelmässige Taktung und Zielgruppenlogik vorgeben.

Wirkung sollte sich nicht nur in Teilnahmequoten zeigen, sondern in reduzierten Routinefehlern und besserem Verhalten im Alltag, etwa im Umgang mit E-Mail, Internet, Social Media, Passwörtern und Datenschutz.

Kernaussagen:

  • Kontinuität ist ein Haupttreiber für wirksame Security Awareness.
  • Nur regelmässige Aktivierung verankert Informationssicherheitsgrundlagen nachhaltig (Dr. Thomas Schlienger).
  • Das passende Betriebsmodell ist das, das regelmässige Kampagnen im Alltag tatsächlich ermöglicht.

THEMEN: Microlearning Quiz Sicherheitskultur Cyber Security Lernreise TreeSolution Cyber Security Schulung E-Mail Internet Social Media Passwort Datenschutz

Typische Fehler in beiden Modellen und Gegenmassnahmen

Die häufigsten Fehler sind operativ: Aufgaben werden vergessen, Rhythmus bricht ab, Verantwortliche wechseln. Setzen Sie Gegenmassnahmen als feste Routine ein, unabhängig vom Modell: klare Ownership, wiederkehrende Checkpunkte und kurze Lernimpulse statt Jahresaktionen.

Fehler passieren in self-managed und managed, nur an unterschiedlichen Stellen. In self-managed scheitert es meist an Kapazität und Routine: Kampagnen werden verschoben, interne Freigaben dauern, der Betrieb hängt an einer Person. In managed bricht es ab, wenn Governance unklar ist: Ziele sind vage, Freigaben kommen nicht, Prioritäten wechseln wöchentlich.

Das zeigt, warum Security Awareness als Betriebsprozess gedacht werden muss. Sicherheitsroutinen sind keine „Wissensfrage“, sondern ein Verhalten im Alltag. Das Betriebsmodell muss solche Routinen sichtbar machen, erinnern und verankern.

Pragmatische Gegenmassnahmen, die sich für beide Modelle eignen:

  • Benennen Sie einen Owner und einen Stellvertreter für den Awareness-Betrieb.
  • Legen Sie einen festen Takt für kurze Lernimpulse (Microlearning, Quiz) fest.
  • Definieren Sie 2 bis 3 wiederkehrende Kontrollpunkte (z. B. monatliche Review auf ausstehende Aktionen).

Wenn Sie tiefer in selbstverwaltete Betriebsabläufe einsteigen möchten, nutzen Sie die verlinkte Spezialseite.

Kernaussagen:

  • Operative Routinefehler sind häufigere Bremsen als fehlendes Wissen.
  • Wiederkehrende Formate (Microlearning, Quiz) verankern Sicherheitsroutinen besser als Einzelmassnahmen.
  • Ownership und feste Checkpunkte verhindern, dass Security Awareness im Alltag abbricht.

THEMEN: Microlearning Quiz Sicherheitsvorfall Informationssicherheit IT-Administrator Sicherheitskultur

Messbarkeit ohne Overhead: Welche KPIs und Checks Sie für die Steuerung brauchen

Für die Betriebsmodell-Entscheidung reichen wenige Steuerungsgrössen: Taktung (läuft es regelmässig?), Abdeckung (erreichen Sie Zielgruppen?), Verhaltenssignale (z. B. weniger sicherheitskritische Klicks) und Kulturindikatoren. Nutzen Sie dafür die Security Awareness Messung (SAR) Online Edition als strukturierte Grundlage.

CISOs brauchen Steuerbarkeit, ohne dass Security Awareness zur Reporting-Maschine wird. Für den Betriebsmodell-Vergleich ist wichtig: In self-managed müssen Sie die Messlogik selbst betreiben. In managed muss die Messlogik so vereinbart sein, dass sie Ihre Governance unterstützt.

Illustratives Bild eines Mannes, der auf ein Tablet zeigt, auf dem Diagramme zu sehen sind

Ein praktikabler Ansatz ist ein kleiner Satz wiederkehrender Checks:

  • Läuft das Awareness-Programm wirklich fortlaufend oder gibt es Lücken?
  • Sind die wichtigsten Arbeitskontexte abgedeckt (E-Mail, Internet, mobile Gerät, Homeoffice, Social Media)?
  • Gibt es Indikatoren, dass sich Verhalten verbessert, nicht nur Wissen?

TreeSolution bietet mit der Security Awareness Messung (SAR) Online Edition eine eine strukturierte Grundlage für die Sicherheitskultur-Messung. Die Details der Kultur-Messung werden auf einer eigenen Pillar-Seite vertieft.

Wenn Sie statt Mess-Logik eher Audit-Nachweise benötigen, nutzen Sie bitte die Reporting-Seite; hier bleibt der Fokus auf Steuerbarkeit für die Modellentscheidung.

Kernaussagen:

  • Für Steuerbarkeit reichen wenige, regelmässig geprüfte Kennzahlen und Checks.
  • Self-managed verlangt interne Verantwortung für Messlogik und Nachsteuerung.
  • TreeSolution führt die Security Awareness Messung (SAR) Online Edition als Mess-Option im Kontext der Sicherheitskultur.

THEMEN: Awareness Messung Security Awareness Messung (SAR) Online Edition Cyber Security Lernreise E-Mail Internet Mobile Gerät Homeoffice Social Media Sicherheitskultur

Umschlagsymbol

Formular, E-Mail, Telefon

Sie können ein kurzes Formular ausfüllen oder uns eine E‑Mail schicken. Wir melden uns innerhalb von zwei Werktagen bei Ihnen. Sie können uns auch direkt anrufen. Klicken Sie auf «Kontakt» und Sie erhalten alle notwendigen Kontaktdaten.

Kontakt
Kalendersymbol

Kostenlose Online-Beratung

Buchen Sie sich Ihren Wunschtermin direkt über unser Online-System. Klicken Sie auf die blaue Schaltfläche - der Terminkalender öffnet sich in einem neuen Fenster.

Termin vereinbaren
TreeSolution Security Awareness AG
www.treesolution.com
+41 58 510 98 00
info@treesolution.com
TreeSolution Security Awareness in Malaysia
www.treesolution.com/malaysia
+603 4149 8128
info-apac@treesolution.com
Informationen
Home
Über TreeSolution
Partnerprogramm
Preise
ROI Rechner
Case Studies
Downloads
Blog
Kontakt
Datenschutz
Impressum
Allgemeine Geschäftsbedingungen (AGB)
Awareness Lösungen
Security Awareness Messung
Awareness Strategie
Awareness Kampagnen
Cyber Security Schulung
E-Learning
Individuelle E‑Learning Entwicklung
Security Awareness Akademie
Cyber Security Lernreise
Webinare
Phishing-Training Service
Social Media
Abonnieren Sie unseren Newsletter
TreeSolution LinkedIn-Profil
TreeSolution YouTube-Kanal
Newsletter-SymbolLinkedIn-SymbolYouTube-Symbol
Um unsere Website für Sie optimal gestalten und verbessern zu können, verwenden wir Cookies. Mit der weiteren Nutzung der Website stimmen Sie der Verwendung von Cookies zu. Für weitere Informationen über Cookies lesen Sie bitte unsere Datenschutzerklärung.
Schliessen